英特尔:九成漏洞经由研究发现

新闻
6月前
 英特尔公司软件产品中的绝大部分安全问题经由内部研究和外部漏洞赏金计划发现。

在3月3日发布的报告中,英特尔宣称,继去年之后,公司产品中的绝大部分漏洞(92%)仍旧经由安全投资发现,尤其是内部研究工作和外部漏洞赏金计划。 

英特尔《2020年产品安全报告》的数据显示,2020年报告的231个英特尔产品漏洞中,109个(47%)由英特尔员工发现,105个(45%)由参与漏洞赏金计划的外部研究人员报告。虽然没有披露各个计划的具体投资数额,但英特尔宣称公司每年平均投入漏洞赏金计划80万美元。

英特尔平台保障与安全(PAS)小组安全通信主管表示,公司计划延续其多管齐下的安全方法。

他说:“安全不是一次性投资,需要在良好安全开发实践方面多加考虑,将之融入公司思维方式,投资产品的漏洞管理过程和持续安全研究,无论是预发布产品还是最终上市销售的产品。” 

报告强调,面向应用与软件开发人员的漏洞赏金计划越来越重要。就在五年之前,很多公司还在争论漏洞赏金计划的有效性,但绝大多数公司企业已经开始重视与外部研究人员的关系了。 

英特尔在2018年开设了自己的漏洞赏金计划,同时成立了产品保障与安全(PAS)小组。这些安全投入获得了应有的回报。过去两年来,内部安全项目和外部漏洞赏金计划披露的漏洞数量相差无几,但2020年通过漏洞赏金计划报告的漏洞多出了三分之一:2019年报告70个,2020年报告了105个。 

外部研究人员通常专注软件驱动,并不注重挖掘更为复杂的固件或硬件漏洞。而固件或硬件漏洞对英特尔核心业务中的处理、网络和图形平台的影响更大。报告显示,69%的固件相关漏洞和57%的硬件漏洞都是英特尔公司内部研究人员发现的。

“外部研究人员发现的大量漏洞存在于软件实用程序和图形、网络及蓝牙组件的软件驱动中。虽然这些漏洞也是需要解决的重要问题,但我们的产品固件才是我们平台的信任基础,而数据显示这是我们内部安全研究的主要关注点。”

仅17个漏洞是由非英特尔内部人员或与漏洞赏金计划无关的研究人员报告的。英特尔表示,这些研究人员来自英特尔合作伙伴、客户和不在意赏金的组织机构。 

曝出漏洞最多的是驱动及其他软件组件,供93个;固件中曝出66个漏洞;有58个漏洞影响固件及软件二者。影响处理器等硬件的漏洞数量最少,为14个。硬件漏洞,例如因忽视分支预测执行问题而导致的Spectre和Meltdown设计缺陷,在产品制造出来后很难修复或缓解。

整体来看,图形组件漏洞所占比例最高,全部22个漏洞中近半数是高严重性漏洞。最关键的漏洞发生在英特尔融合安全与管理引擎(CSME)中,这一引擎是任何基于英特尔的计算平台的信任基础,负责将平台功能与中央处理器(CPU)、固件或BIOS,以及操作系统隔离开来。 

2020年,英特尔平台和软件曝出6个关键漏洞、80个高严重性漏洞、131个中严重性漏洞和14个低严重性漏洞。英特尔自行发现了其中2个关键漏洞和半数高严重性漏洞。

这家芯片巨头计划继续投资安全,但并未设置具体的预算目标。考虑到漏洞赏金计划报告漏洞数量的增长,英特尔可能需为不断增加的外部研究人员酬金打算。 

Bryant称:“我们不考虑预算,只看中能力增强,尽我们所能地拓展安全能力。英特尔产品保障与安全小组专注SDL、攻击性安全研究、漏洞管理等方面。预算不在这份报告的考虑范围内,因为预算是浮动的。”

英特尔《2020年产品安全报告》全文:(戳阅读原文直接查看)
https://www.intel.com/content/dam/www/public/us/en/security-advisory/documents/intel-2020-product-security-report.pdf

关键词:CPU漏洞;漏洞赏金